El ciber-bombardeo contra España se ha intensificado aún más, pese a que parecía difícil superar el aumento del 750% en los ciberataques registrados entre el 26 de febrero y el 4 de marzo.
En la semana siguiente (del 5 al 11 de marzo), los ataques volvieron a crecer un 54,57%, situando a España como el país más atacado del mundo, tras escalar desde la tercera posición. Así lo indica HackManac en su último reporte, donde España figura como el blanco de más de 100 ataques en tan solo siete días. Para ser más exactos contabiliza un total de 107, lo que supone un 22,6% de todos los que se han producido alrededor del planeta, un total de 474 en 44 países. Detrás de ellos están al menos una decena de grupos de ciberdelincuentes, como vamos a ir desgranando a continuación.
🟧 #HackTuesday 🟧
— HackManac (@H4ckManac) March 11, 2025
Hack Tuesday: Week 05 - 11 March 2025
⚠️474 cyber attacks across 44 countries ⚠️
➡️The most active threat actor last week was NoName057(16) claiming responsibility for 105 cyber attacks.
➡️🇪🇸Spain is the most affected country, accounting for 22.6% of… pic.twitter.com/YG8AEbhrGH
NoName057(16), el grupo más activo
En la última semana, el grupo de ciberdelincuentes que ha perpetrado más ciberataques, tanto en España como a nivel mundial, ha sido el colectivo prorruso NoName057(16), que ha reivindicado la autoría de 105 ofensivas. Buena parte de ellas se han dirigido contra España, continuando la operación que inició a principios de este mes contra nuestro país en respuesta a su apoyo a Ucrania. Al igual que en la semana anterior, NoName057(16) se ha enfocado principalmente en instituciones gubernamentales y entidades públicas en España, con especial énfasis en administraciones locales y regionales.
Entre sus últimos objetivos se encuentran los Ministerios de Justicia y de Política Territorial y Memoria Democrática, el Tribunal Constitucional y la Agencia Española de Cooperación Internacional para el Desarrollo (AECID), además de gobiernos autonómicos como el de Canarias, Asturias y Castilla-La Mancha. NoName057 también han apuntado contra varias diputaciones provinciales, como las de Toledo, Valencia, Girona, Cáceres y Badajoz, así como contra una larga lista de ayuntamientos de ciudades como Zaragoza, Bilbao, A Coruña, Valladolid o Sevilla, entre otros muchos. Estos ataques, mayoritariamente del tipo DDoS, reafirman el interés del grupo por desestabilizar instituciones esenciales del país en represalia a su compromiso con Ucrania.
🚨DDoS Alert ‼️
— HackManac (@H4ckManac) March 7, 2025
🇪🇸Spain - The pro-Russian hacktivist group NoName057(16) continues its "OpSpain" campaign with a new wave of DDoS attacks.
Today, the group has claimed responsibility for cyberattacks targeting multiple provinces and cities in Spain, in retaliation for the… pic.twitter.com/YWeLNTib6o
TwoNet también mantiene su ofensiva contra España
Al igual que NoName057 (16), el grupo prorruso TwoNet sigue manteniendo a España como un objetivo prioritario de sus ataques DDoS, tal como advirtió que haría si no deja de apoyar a Ucrania.
En su última oleada, se ha dirigido contra el Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, la Agencia Estatal de Administración Tributaria (AEAT) o la Dirección General de Tráfico (DGT), instituciones clave del país. El grupo también ha puesto su punto de mira en el Metro de Madrid y en entidades madrileñas del ámbito educativo, como la Universidad Complutense de Madrid o EducaMadrid, así como en empresas de diversos sectores, como SEUR, Securitas Seguridad España o ACS. Además, ha vuelto a lanzar un ataque DDoS contra el servicio de información y verificación de noticias Newtral, cuyo portal ya comprometió a principios de marzo.
OverFlame y Russian Partisan
En el último reporte de HackManac aparecen otros dos grupos de hackers afines al Kremlin que no aparecían en el de la semana anterior. Se trata de OverFlame y Russian Partisan, ambos socios de TwoNet en una alianza de la que también forman parte Sector16 y Sector 091.
En el caso de OverFlame, sus objetivos han sido Imatia, proveedora de servicios y soluciones TI para el sector público y privado, y Cimsa, empresa de paracaídas de "talla mundial", como comentaba el propio grupo y avanzamos en el primer artículo. Por su parte, Russian Partisan se ha dirigido a los ministerios de Igualdad y de Política Territorial y Memoria Democrática, a la Administración General del Estado y al Portal de Firma Electrónica.
Z-Pentest Alliance: de la Casa Real a cuatro ministerios pasando por Navantia
Otro de los grupos involucrados en este ciber-bombardeo contra España es Z-Pentest Alliance, un colectivo que apareció en el radar el pasado mes de octubre y que no tardó en adquirir relevancia. En solo dos meses, se adjudicó diez ciberataques, todos ellos dirigidos a infraestructuras críticas y con los que llegó a comprometer el sector energético y de agua en Estados Unidos, según alertó la empresa de ciberseguridad Cyble y recogió Cybernews.
Z-Pentest Alliance afirma ser de Serbia, aunque la mayoría de sus publicaciones las redes sociales muestran su simpatía hacia Rusia. Junto a NoName057(16) y TwoNet, es el único grupo que aparece en los dos últimos informes de HackManac como responsable de ciberataques contra España. En la primera semana, soló perpetró un ataque DDoS, aunque fue sonado porque tuvo como objetivo nada menos que la web de la Casa Real, la cual consiguió dejar temporalmente inoperativa, según informó Cadena SER citando fuentes de la lucha contra la ciberdelincuencia. La Casa Real confirmó el ataque, cometido el pasado 4 de marzo, aunque aseguró que "en ningún caso lograron entrar en el sistema".
En la última semana, Z-Pentest Alliance ha intensificado su campaña contra España, cometiendo un total de 17 ciberataques. Sus objetivos incluyen los ministerios de Interior, Justicia, Política Territorial y Memoria Democrática, y Ciencias, Innovación y Universidades, además de la Administración General del Estado. También ha apuntado contra importantes instituciones como la Biblioteca Nacional de España, el Instituto Nacional de Estadística, el Instituto Cervantes y el servicio de emergencias 112.
El grupo ha extendido sus ataques a administraciones locales, afectando a los ayuntamientos de Málaga y Valencia, así como a servicios de transportes y medios de comunicación, entre ellos la plataforma de taxis de Barcelona y el canal de televisión Gol Play, propiedad de Mediapro. Además, tampoco ha dejado al margen al sector empresarial, con ofensivas dirigidas a dos actores clave de la industria de defensa: Navantia y TEDAE, la Asociación Española de Empresas Tecnológicas de Defensa, Seguridad, Aeronáutica y Espacio.
Dark Storm Team, Akira, Diplomat, Fog y Arcus Media se suman a la ofensiva
Además de NoName057(16), TwoNet y Z-Pentest Alliance, al menos otros cinco grupos de ciberdelincuentes han participado en la avalancha de ciberataques contra España de la última semana.
Entre ellos se encuentra Dark Storm Team, el grupo de hackers que esta misma semana se ha atribuido el ciberataque masivo que interrumpió durante horas el servicio de X, red social propiedad de Elon Musk anteriormente conocida como X.
En el caso de España, Dark Storm Team, colectivo propalestino y antisemita, ha dirigido sus ataques contra los ministerios de Igualdad y de Política Territorial y Memoria Democrática, y contra la Fábrica Nacional de Moneda y Timbre.
Más agresivo ha sido el grupo Diplomat, responsable de cinco ofensivas contra sendos ministerios del Gobierno español: el Ministerio de Industria y Turismo, el Ministerio de Transportes y Movilidad, el Ministerio de Cultura y Deporte, el Ministerio de Asuntos Exteriores, Unión Europea y Cooperación de España, y el Ministerio de Ciencia, Innovación y Universidades.
Otro de los actores implicados en el ciber-bombardeo que está sufriendo España es el conocido grupo de ransomware Akira, que ha sumado a su amplia lista de víctimas al Grupo de Protección y Seguridad 909, a Arcusin, empresa dedicada a la fabricación de maquinaria agrícola, y a la firma de marroquinería Paco Martínez. Este último ataque ha sido anunciado este mismo miércoles por Akira, que ha informado de que estaban preparados para filtrar 46GB de "documentos corporativos esenciales, como: documentación financiera (auditorías, recibos de pagos, reportes), números de teléfono y correos electrónicos de empleados y clientes, correspondencia interna, etc.".
🚨Cyber Attack Alert‼️
— HackManac (@H4ckManac) March 12, 2025
🇪🇸Spain - PACOMARTINEZ
Akira ransomware group claims to have breached PACOMARTINEZ, allegedly exfiltrating 46 GB of data. pic.twitter.com/lRv7KpG6Ox
A esta ofensiva también se ha unido Fog, otra banda de ransomware que ha puesto en su punto de mira a Inelmatic Electronics, una empresa especializada en tecnología de visualización y sistemas electrónicos avanzados.
Por último, los hacktivistas de Arcus Media han dirigido su ataque contra la compañía de telecomunicaciones Reycotel Jaén.
A toda esta avalancha de ciberataques que ha golpeado a España en la última semana hay que añadir un par más que no han sido reivindicados. Sus objetivos han sido Generali y Yoigo, dos importantes empresas en los sectores de los seguros y las telecomunicaciones respectivamente.
Otros grupos de hackers sin vínculos con Rusia implicados en el ciber-bombardeo
Además, si volvemos a remontarnos a la primera oleada de ciberataques contra España, encontramos la participación de otros seis grupos de ciberdelincuentes que no tienen vínculos con Rusia y todavía no hemos mencionado.
El más activo de todos ellos fue Mr. Hamza, grupo de origen marroquí. Sus ataques, de tipo DDoS, se concentraron en un solo día, 2 de marzo, y formaron parte de la operación 'Breakthrought humanity' ('avance para la humanidad'), que cumplía la tercera jornada.
Mr. Hamza se enfocó en golpear varios ministerios y organismos estatales, dirigiéndose a las webs de ministerio del Interior, Economía, Asuntos Exteriores y Justicia, así como al Consejo General del Poder Judicial (CGPJ), Servicio Público de Empleo Estatal (SEPE) e Instituto Nacional de Estadística (INE). Además, extendió su ofensiva al ámbito de la defensa, apuntando a los portales del Estado Mayor de la Defensa (EMAD), Departamento de Seguridad Nacional (DSN) y Ejército de Tierra.
🚨 DDoS Alert🚨
— FalconFeeds.io (@FalconFeedsio) March 2, 2025
Mr Hamza claims to have targeted multiple websites in Spain.
- Defence Staff EMAD Spain
- DSN-Department of Homeland Security
- Spanish Army pic.twitter.com/uuiGQUYQhB
Ese mismo día, 2 de marzo, DXploit, grupo de hackers procedente de Malasia que promueve una representación pacífica del Islam, también llevó a cabo una serie de ataques DDoS. En su caso, se dirigió a La Moncloa, al sistema estatal de contratación centralizada y a las compañías Roomdimensions Ibérica y Cosmac Srl.
Junto a estos colectivos, también participaron otros grupos de ciberdelincuentes con motivaciones financieras. Entre ellos la conocida banda de ransomware Clop (Cl0p), que, tras intensificar su actividad en febrero, puso en su punto de mira a Emesa, empresa del sector industrial.
A su vez, Lynx atacó a La Unión, mientras que Keymous+ se dirigió a la plataforma inmobiliaria Trovimap. Por último, los hacktivistas del grupo DNI consiguieron robar datos de clientes de El Corte Inglés en una brecha de seguridad que afectó a uno de sus proveedores externos.
Estos ataques, además de los perpetrados por los hackers rusos que centraron nuestro primer artículo, marcaron el inicio del ciber-bombardeo que está sufriendo España. De hecho, el reporte de HackManac de la semana anterior, del 19 al 25 de febrero, señala que el país registró solamente 6 ciberataques. En la semana posterior aumentaron un 750%, alcanzando 51, y en la siguiente volvieron a crecer un 22,6%, llegando hasta los 107 ciberataques y situando a España como el país más atacado del mundo.
Como hemos analizado, la autoría de estas ofensivas corresponde a alrededor de una veintena de grupos de hackers, mayoritariamente prorrusos pero que también incluyen colectivos marroquíes, malasios o bandas de ransomware como Akira y Cl0p. Seguiremos pendientes de ver cómo evoluciona este escenario, en el que España se ha convertido en un objetivo prioritario en el tablero global de la ciberguerra y se enfrenta, sin lugar a dudas, a uno de los mayores desafíos de ciberseguridad de su historia.